Metodikk og scoring

Basert på CIS Critical Security Controls v8

CIS Critical Security Controls

CIS Controls er et anerkjent, globalt rammeverk for IT-sikkerhet utviklet av Center for Internet Security. Kontrollene er basert på reelle angrep og forsvar, og hjelper organisasjoner med å prioritere sikkerhetstiltak som faktisk gir beskyttelse.

Vår M365-sikkerhetssjekk bruker et utvalg av CIS Controls v8 som er spesielt relevante for sky-baserte miljøer og SMB-organisasjoner.

Les mer om CIS Controls
Scoringsformel

Slik beregnes sikkerhetsscore:

Total score = Σ (område-score × vekt) / maks mulig score × 100

Poengtildeling per spørsmål:

  • Ja/Nei-spørsmål: 5 poeng for "Ja", 0 for "Nei"
  • Frekvens-spørsmål:
    • Best praksis (Månedlig/Automatisk/Alltid): 5 poeng
    • God praksis (Kvartalsvis/Ofte): 3-4 poeng
    • Svak praksis (Årlig/Sjelden): 1-2 poeng
    • Ingen praksis (Aldri/Manuelt): 0 poeng

Områdevekting:

Hvert sikkerheetsområde (Identity, Data, Devices, Backup, Awareness) vektes likt med 4 spørsmål per område. Total mulig score er 100 poeng (20 spørsmål × 5 poeng maks).

CIS Control-mapping

Identitet (Identity)

  • CIS 6.5 - Tofaktorautentisering
  • CIS 6.2 - Betinget tilgangskontroll
  • CIS 5.4 - Tilgangsgjennomganger
  • CIS 5.4 - Privilegerte kontoer

Data

  • CIS 3.1 - Dataklassifisering
  • CIS 3.11 - Datakryptering
  • CIS 3.10 - Data loss prevention
  • CIS 3.3 - Tilgangskontroll for data

Enheter (Devices)

  • CIS 1.1 - Hardware inventory
  • CIS 4.1 - Sikker konfigurasjon
  • CIS 7.1 - Sikkerhetsoppdateringer
  • CIS 10.1 - Malware-beskyttelse

Backup

  • CIS 11.1 - Backup av data
  • CIS 11.3 - Testing av gjenoppretting
  • CIS 11.5 - Disaster recovery plan
  • CIS 11.4 - Offsite backup

Bevissthet (Awareness)

  • CIS 14.1 - Sikkerhetsopplæring
  • CIS 14.2 - Phishing-testing
  • CIS 5.2 - Passordpolicyer
  • CIS 17.3 - Hendelsesrapportering
Tolkning av score
80+

Utmerket sikkerhetsnivå

Organisasjonen har implementert de fleste anbefalte sikkerhetskontroller.

60-79

Godt sikkerhetsnivå

Grunnleggende sikkerhet er på plass, men det finnes forbedringsområder.

<60

Sikkerhetsnivå kan forbedres

Betydelige sikkerhetsgap som bør adresseres prioritert.

Start sikkerhetssjekk